Обзор вирусной обстановки за октябрь 2007 года от компании «Доктор Веб»

01 ноября 2007
1.11.2007

Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации в октябре 2007 года.

Продолжающаяся уже достаточно длительное время спам-рассылка Storm Worm постепенно идёт на убыль. Тем не менее, говорить о полном прекращении рассылки пока рано. В письмах пользователям предлагается скачать открытку. При переходе по предложенной ссылке открывается веб-страница, выполненная в мультипликационном стиле. В коде страницы размещён загрузочный скрипт, определяемый антивирусом Dr.Web как VBS.Psyme.438. В результате выполнения скрипта происходит несанкционированная установка исполняемого файла. Механизм дальнейшей работы остался без изменений – превращение инфицированного компьютера в участника P2P-сети с последующей рассылкой спама. Помимо этого, с помощью инфицированных компьютеров осуществлялись DDoS-атаки на различные антиспам-порталы, а также сайты, распространяющие Win32.HLLM.Limar.

Ослабление Storm Worm привело к тому, что авторы Win32.HLLM.Limar вновь «подняли голову» - в начале 20х чисел была зафиксирована рассылка писем, содержащих во вложении загрузчик, устанавливающий основные модули Win32.HLLM.Limar на инфицированный компьютер. В процессе своей работы Win32.HLLM.Limar осуществляет временную подмену стандартного Windows Messenger для осуществления рассылки своих сообщений с ссылками на загрузку своей копии по IM.

В этом месяце было зафиксировано также появление двух вредоносных программ для распространения по системе VoIP Skype – Win32.HLLW.Pykse и Trojan.PWS.Skyper. Их появление символизирует, что в обозримом будущем число вредоносных программ, распространяющихся по Skype, может возрасти. Напомним, что этим летом была зафиксировано распространение по Skype другой вредоносной программы - Win32.HLLW.Crazy.

Нельзя не отметить также появление вредоносного документа PDF, использующий уязвимости в программном обеспечении Adobe Systems Reader и Acrobat. Наверняка многие помнят волну спам-рассылки с сообщениями в формате PDF. Первичная волна не несла в себе PDF-файлов, несущих в себе каких-либо деструктивных функций. Нынешняя волна показала, что PDF-файлы могут представлять реальную угрозу для компьютера пользователя. Детектирование подобных PDF-файлов включено в базы Dr.Web - Exploit.PDFUri.

Итоги спам-активности в октябре 2007 года

Главным событием этого месяца стала апробация спаммерами нового метода для обхода антиспам фильтров – применение вложений в виде звукового файла в формате mp3. Однако, в виду низкого качества воспроизводимого сообщения данная рассылка представила собой эпизодический случай и была быстро прекращена.

В этом месяце отмечался рост присутствия «коммерческого спама» с предложениями по безнес-тематике, а также «культурного спама» с предложениями посетить различного рода театральные премьеры, выставочные залы и.т.д.

В октябре 2007 года вирусная база Dr.Web пополнилась 9855 записями.

Краткая таблица результатов онлайн-проверки за месяц:

Наименование вируса Количество
VBS.Psyme.239 2142
Worm.Sifiliz 599
Trojan.SCKeyLog.20 423
VBS.PackFor 214
Trojan.PWS.LDPinch 172
Trojan.PWS.Wsgame 143
Win32.HLLM.Wukill 105
Trojan.Spambot 100
Trojan.PWS.Gamania 97
Win32.HLLM.Limar 50

Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего детектируемых на почтовых серверах в октябре 2007 года:

Наименование вируса % от общего кол-ва вирусов
Win32.HLLM.Netsky.35328 23.72
Win32.HLLM.Graz 15.06
Win32.HLLM.Beagle 8.05
Win32.HLLM.Netsky 6.39
Win32.HLLM.Netsky.based 5.82
Win32.HLLM.Limar.based 4.73
Win32.HLLM.MyDoom.based 3.85
Win32.HLLP.Sector 3.19
Trojan.DownLoader.35874 2.94
Win32.HLLM.Perf 2.47
Exploit.MS05-053 2.34
Win32.HLLM.Oder 1.89
Win32.HLLM.MyDoom.33808 1.58
Win32.HLLM.Limar 1.51
BackDoor.IRC.Sdbot.1933 1.45
Win32.LazyAdmin.32768 1.39
Trojan.Click.4223 1.13
Win32.HLLM.Netsky.24064 0.95
Win32.HLLM.MyDoom.49 0.80
Win32.HLLM.Netsky.41985 0.73
Прочие вредоносные программы 10.01
176
;